标签: security github github-actions
根据https://help.github.com/en/github/automating-your-workflow-with-github-actions/authenticating-with-the-github_token,
具有存储库写权限的任何人都可以创建,读取和使用机密。
假设存在一个GitHub存储库机密,其中包含用于部署到暂存(甚至生产)环境的令牌。
任何具有write权限的协作者都可以创建一个新的GitHub工作流文件,使用存储库秘密将该工作流文件部署到登台/生产环境中,将更改推送到任何分支中,从而触发该工作流。 >
write
结果,将部署任意版本的代码。
是否可以防止这种情况并只允许触发授权用户的部署?